Cities: Skylines2(シティーズスカイライン2)

Cities: Skylines IIのマルウェア感染から学んだこと – 対策と分析の記録

重要な注意事項

本記事に記載されている技術的な分析や対策方法にはセキュリティ研究者やコミュニティからの情報が含まれています。
これらの情報は執筆時点で得られる最善の情報ですが完全な正確性を保証するものではありません。
特に技術的な詳細については今後の分析で異なる見解が示される可能性があります。
安全性を重視し可能な限り公式の情報源や信頼できるセキュリティ専門家の助言を参考にしてください。

はじめに

先日、私はCities: Skylines IIの人気モッド「Traffic」に含まれていたマルウェアに感染してしまいました。
この記事では私の経験とデジタル時代における予防と対策について共有したいと思います。
特に今回のケースは暗号資産に関連する脅威でありこれまでにない形の攻撃でした。
幸いにも私は暗号資産を取り扱っていなかったため直接的な被害は免れました。
しかしこの経験から学んだことは非常に大きく皆様と共有する価値があると考えています。

因みに私は今までこのようなマルウェアに感染した事はありませんでした。
かなりセキュリティは厳しくして防衛していたつもりでした。
それなのにCities: Skylines2のおかげで感染してしまうとは痛恨の極みでした。
MODの恐ろしさが身に染みます。

事案の概要と経緯

2024年10月末、Paradox社から「Traffic」MODに悪意のあるDLLファイルが含まれているという警告が発表されました。
このMODは都市の交通システムを改善する人気の高いMODでした。
公式からの警告を受け、私も直ちに確認作業を行いました。

感染の確認方法

公式情報によると、感染の有無は以下の場所で確認できます:

  • 確認場所:%localappdata%low\Colossal Order\Cities Skylines II\.cache\Mods\mods_subscribed内の80095_13フォルダ
  • 重要:80095_13フォルダの存在自体が感染の証拠となります
  • 追加確認場所:%LOCALAPPDATA%\exodus\app-24.41.6\profapi.dll(または類似のapp-ディレクトリ)

セキュリティソフトの対応と個人的な発見

私の環境では以下のような状況が発生しました

  • 有料の著名なウイルス対策ソフトNortonでは検知されず
  • Windows標準搭載のWindows Defenderでは検知された(Trojan:Win32/Sheloodとして検出)
  • コミュニティからの報告では、72のセキュリティベンダーのうち30社が検知可能とされています

情報の信頼性について

以下の技術的な分析は主にセキュリティコミュニティやオンライン上の研究者による報告をまとめたものです。
情報の多くは独立した複数の情報源から報告されていますが一部の詳細については今後の研究で異なる見解が示される可能性があります。
この記事は現時点で得られる情報を基に注意喚起と対策の参考として共有するものです。


マルウェアの技術的な詳細

報告されている基本構造

このマルウェアは一部のセキュリティ研究者により「ExoTickler」と名付けられ、以下の特徴を持つとされています

  • 主にExodusウォレットを標的とした可能性
  • DLL検索順序ハイジャックによる持続性の確保の可能性
  • 難読化技術の使用が報告されている

推定される攻撃チェーン

セキュリティ研究者らによって報告されている動作手順

  1. Traffic.dllが初期段階として実行
  2. FastMath.dllがロードされ、第二段階のペイロードを展開
  3. 暗号化された本体が解読・実行
  4. Exodusウォレットの情報を探索する可能性

報告されている技術的な機能

  • アンチサンドボックス機能による検知回避の可能性
  • システムプロセス操作機能
  • ネットワーク通信機能
  • ファイルシステムアクセス機能
  • メモリ操作機能

現時点で否定されている噂

セキュリティ研究者らにより、以下の噂は現時点では根拠がないとされています

  • 「BIOSに侵入する」という噂
  • 「マクロに感染する」という噂
  • 「外部ドライブに影響する」という噂
  • 「他の暗号資産ウォレットも標的」という噂

私が実施した対策

即時対応

  1. インターネット接続の即時切断
  2. Nortonによる緊急スキャン実施:引っかからず
  3. アンチマルウェア系ソフトによる緊急スキャン実施(数種類):引っかからず
  4. Windows Defenderによる緊急スキャン実施:1日目はかからず2日目に引っかかる
  5. 重要なアカウントのパスワード変更(別PCで)
  6. 新規PCの購入を決断

推奨されている完全な除去手順

  1. CS2とモッドパックの完全なアンインストール
  2. 前述の場所にある不審なファイルの削除
  3. システム全体のウイルススキャン実施
  4. 必要に応じてCSとモッドの再インストール

この経験から学んだこと

  • 有名なセキュリティソフトでも検知できない脅威が存在する
  • Windows Defenderの基本的な保護機能を軽視してはいけない
  • モッドの利用には細心の注意が必要
  • 定期的なバックアップの重要性
  • セキュリティアラートへの迅速な対応が重要
  • 複数のセキュリティ対策を組み合わせることの必要性

現時点で確認されている影響範囲

影響を受けない可能性が高いケース

  • Exodusウォレットを使用していない場合
  • 問題のMODをインストールしていない場合
  • 指定期間中にMODを使用していない場合

最後に

今回の件は、デジタル社会における新たな脅威の一例として非常に示唆に富むものでした。
過剰に思える対策でも状況によっては検討する価値があると実感しています。
重要なのはこうした事例を過度に恐れるのではなく、適切な予防と対策を講じることです。
また、本記事の情報は執筆時点でのものであり、状況は日々更新される可能性があります。
最新の情報は、常に公式の発表や信頼できるセキュリティ機関からの情報を確認することをお勧めします。


更新履歴

  • 2024年10月31日:Paradox社による初期の警告発表
  • 2024年11月1日:追加の予防措置の発表
  • 2024年11月3日:コミュニティによる技術的な分析結果の共有
  • 2024年11月4日:新たな観察結果の報告

出典

外部サイト(Paradox公式):https://www.paradoxinteractive.com/games/cities-skylines-ii/news/traffic-breach-statement
外部サイト(redditの情報):https://www.reddit.com/r/antivirus/comments/1gh4qp0/comment/luxi3zw/
外部サイト(セキュリティ専門家?の情報):https://website.locknessko.com/blog/cs2_malware

タイトルとURLをコピーしました